{"id":161721,"date":"2025-10-22T03:00:58","date_gmt":"2025-10-22T10:00:58","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=161721"},"modified":"2025-10-21T15:13:35","modified_gmt":"2025-10-21T22:13:35","slug":"cloud-based-gift-card-fraud-campaign","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/cloud-based-gift-card-fraud-campaign\/","title":{"rendered":"Jingle Thief : Au c\u0153ur d'une campagne de fraude \u00e0 la carte-cadeau centr\u00e9e sur le cloud"},"content":{"rendered":"

<\/a>Synth\u00e8se<\/h2>\n

Nous avons enqu\u00eat\u00e9 sur une campagne men\u00e9e par des acteurs de la menace motiv\u00e9s par le gain financier, op\u00e9rant depuis le Maroc. Nous avons baptis\u00e9 cette campagne \u00ab Jingle Thief \u00bb en raison du mode op\u00e9ratoire des attaquants, qui consiste \u00e0 commettre des fraudes \u00e0 la carte-cadeau pendant les p\u00e9riodes de f\u00eates. Les attaquants de Jingle Thief utilisent l'hame\u00e7onnage (phishing) et l'hame\u00e7onnage par SMS (smishing) pour d\u00e9rober des identifiants afin de compromettre les organisations qui \u00e9mettent des cartes-cadeaux. Leurs op\u00e9rations ciblent principalement des entreprises mondiales des secteurs de la vente au d\u00e9tail et des services \u00e0 la consommation. Une fois qu'ils ont acc\u00e9d\u00e9 \u00e0 une organisation, ils cherchent \u00e0 obtenir le type et le niveau d'acc\u00e8s n\u00e9cessaires pour \u00e9mettre des cartes-cadeaux non autoris\u00e9es.<\/p>\n

L'activit\u00e9 li\u00e9e \u00e0 cette campagne est suivie par l'Unit 42 sous l'identifiant de cluster CL\u2011CRI\u20111032. Les acteurs de la menace derri\u00e8re cette activit\u00e9 ciblent des organisations qui s'appuient principalement sur des services et une infrastructure bas\u00e9s sur le cloud. Ils exploitent ensuite les fonctionnalit\u00e9s de Microsoft 365 pour mener des reconnaissances, maintenir une persistance \u00e0 long terme et ex\u00e9cuter des fraudes \u00e0 la carte-cadeau \u00e0 grande \u00e9chelle. Nous estimons, avec une confiance mod\u00e9r\u00e9e, que le cluster d'activit\u00e9s que nous suivons sous le nom de CL-CRI-1032 recoupe l'activit\u00e9 d'acteurs de la menace publiquement connus sous les noms d'Atlas Lion et STORM-0539<\/a>.<\/p>\n

Ce qui rend l'acteur de la menace derri\u00e8re cette activit\u00e9 particuli\u00e8rement dangereux, c'est sa capacit\u00e9 \u00e0 maintenir une pr\u00e9sence au sein des organisations pendant de longues p\u00e9riodes, parfois plus d'un an. Pendant ce temps, il acquiert une connaissance approfondie de l'environnement, y compris la mani\u00e8re d'acc\u00e9der aux infrastructures critiques, ce qui rend la d\u00e9tection et la rem\u00e9diation particuli\u00e8rement difficiles. En avril et mai 2025, l'acteur de la menace derri\u00e8re la campagne Jingle Thief a lanc\u00e9 une vague d'attaques coordonn\u00e9es contre plusieurs entreprises mondiales.<\/p>\n

Cet article pr\u00e9sente une analyse de bout en bout du cycle de vie de la campagne Jingle Thief, bas\u00e9e sur la t\u00e9l\u00e9m\u00e9trie et les d\u00e9tections d'incidents r\u00e9els. Nous offrons une vision claire des m\u00e9thodes impliqu\u00e9es dans cette activit\u00e9 et des conseils pratiques pour att\u00e9nuer les menaces bas\u00e9es sur l'identit\u00e9 (attaques ciblant les comptes utilisateurs et les identifiants) dans les environnements cloud. Alors que l'identit\u00e9 remplace de plus en plus le p\u00e9rim\u00e8tre traditionnel, la compr\u00e9hension de campagnes comme Jingle Thief est essentielle pour s\u00e9curiser l'infrastructure d'entreprise moderne.<\/p>\n

Cette activit\u00e9 a \u00e9t\u00e9 identifi\u00e9e gr\u00e2ce \u00e0 des anomalies comportementales d\u00e9tect\u00e9es par Cortex User Entity Behavior Analytics (UEBA)<\/a> et Identity Threat Detection and Response (ITDR)<\/a>. Les clients sont mieux prot\u00e9g\u00e9s contre cette activit\u00e9 gr\u00e2ce au nouveau module Cortex Advanced Email Security<\/a>.<\/p>\n

Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une question urgente, contactez l'\u00e9quipe d'intervention sur incident de l'Unit 42<\/a>.<\/p>\n\n\n\n
Sujets connexes de l'Unit 42<\/th>\nIng\u00e9nierie sociale<\/a>, hame\u00e7onnage<\/a><\/th>\n<\/tr>\n<\/thead>\n<\/table>\n

<\/a>Qui est derri\u00e8re la campagne Jingle Thief ?<\/h2>\n

Nous estimons avec une confiance mod\u00e9r\u00e9e que la campagne Jingle Thief a \u00e9t\u00e9 cr\u00e9\u00e9e par des attaquants bas\u00e9s au Maroc, motiv\u00e9s par le gain financier et actifs depuis 2021. Leurs op\u00e9rations ciblent principalement des entreprises mondiales des secteurs de la vente au d\u00e9tail et des services \u00e0 la consommation. Bien qu'elle ne soit pas affili\u00e9e \u00e0 un \u00c9tat-nation, l'activit\u00e9 que nous suivons sous le nom de CL\u2011CRI\u20111032 comprend des tactiques avanc\u00e9es, de la persistance et une concentration op\u00e9rationnelle.<\/p>\n

Contrairement aux acteurs de la menace qui s'appuient sur des logiciels malveillants courants ou l'exploitation des terminaux (endpoints), les attaquants derri\u00e8re CL\u2011CRI\u20111032 op\u00e8rent presque exclusivement dans des environnements cloud une fois qu'ils ont obtenu des identifiants par hame\u00e7onnage. Ils exploitent l'infrastructure cloud pour usurper l'identit\u00e9 d'utilisateurs l\u00e9gitimes, obtenir un acc\u00e8s non autoris\u00e9 \u00e0 des donn\u00e9es sensibles et commettre des fraudes \u00e0 la carte-cadeau \u00e0 grande \u00e9chelle.<\/p>\n

<\/a>Anatomie de la campagne Jingle Thief<\/h2>\n

Au cours d'une campagne que nous avons observ\u00e9e, les acteurs de la menace ont maintenu leur acc\u00e8s pendant environ 10 mois et compromis plus de 60 comptes utilisateurs au sein d'une seule entreprise mondiale. L'activit\u00e9 impliquait l'utilisation de services Microsoft 365, notamment SharePoint, OneDrive, Exchange et Entra ID. Cela a d\u00e9montr\u00e9 un haut degr\u00e9 d'adaptabilit\u00e9 et de patience op\u00e9rationnelle. La d\u00e9tection de cette approche n\u00e9cessite une observation attentive des actions des adversaires sur une longue p\u00e9riode. Les acteurs de la menace derri\u00e8re la campagne Jingle Thief alignent souvent leur activit\u00e9 sur les p\u00e9riodes de vacances, intensifiant leurs op\u00e9rations pendant les p\u00e9riodes de r\u00e9duction des effectifs et d'augmentation des d\u00e9penses en cartes-cadeaux.<\/p>\n

Ayant obtenu l'acc\u00e8s initial, les acteurs de la menace ont effectu\u00e9 une reconnaissance pour cartographier l'environnement, se sont d\u00e9plac\u00e9s lat\u00e9ralement pour acc\u00e9der \u00e0 des zones plus sensibles et ont identifi\u00e9 des opportunit\u00e9s d'ex\u00e9cuter une fraude financi\u00e8re \u00e0 grande \u00e9chelle. La figure 1 illustre le cycle de vie de l'attaque de bout en bout dans Microsoft 365, soulignant comment les acteurs de la menace sont pass\u00e9s d'une entr\u00e9e bas\u00e9e sur l'hame\u00e7onnage \u00e0 un acc\u00e8s persistant via l'enregistrement d'appareils.<\/p>\n

\"S\u00e9quence
Figure 1. Cha\u00eene d'attaque par hame\u00e7onnage de Jingle Thief dans Microsoft 365.<\/figcaption><\/figure>\n

L'\u00e9tape finale de l'attaque, l'enregistrement de l'appareil, cr\u00e9e une t\u00eate de pont que les acteurs de la menace exploitent pour \u00e9mettre des cartes-cadeaux, qu'ils utilisent ensuite \u00e0 des fins lucratives.<\/p>\n

<\/a>Pourquoi les cartes-cadeaux ? La cible de choix<\/strong><\/h3>\n

Les cartes-cadeaux sont tr\u00e8s attrayantes pour les acteurs motiv\u00e9s par le gain financier en raison de leur facilit\u00e9 d'utilisation et de leur mon\u00e9tisation rapide. Les acteurs de la menace revendent les cartes-cadeaux sur des forums du march\u00e9 gris \u00e0 des tarifs r\u00e9duits, permettant un flux de tr\u00e9sorerie quasi instantan\u00e9.<\/p>\n

D'autres facteurs qui rendent les cartes-cadeaux attrayantes incluent :<\/p>\n